מיקרוסופט אומרת ש-PrintNightmare כבר מנוצל, ומציעה פתרון

עמוד הבית » # רישום מחדש

סמל זמן קריאה 3 דקות לקרוא

סמל לוח השנה פורסם ב

by סורור דיווידס 

פורסם ב

שתף את המאמר הזה

קוראים עוזרים לתמוך ב-MSpoweruser. אנו עשויים לקבל עמלה אם תקנה דרך הקישורים שלנו. סמל טיפים

קרא את דף הגילויים שלנו כדי לגלות כיצד תוכל לעזור ל-MSPoweruser לקיים את צוות העריכה קראו עוד

דיווחנו לפני יומיים על ניצול חדש ולא מתוקן Zero-day ששוחרר זה עתה המעניק לתוקפים יכולות מלאות של ביצוע קוד מרחוק בהתקני Windows Print Spooler עם תיקון מלא.

הפריצה, הנקראת PrintNightmare, מאפשרת לקוד התוקף לרוץ עם הרשאות מערכת מלאות והיא שוחררה יחד עם קוד הוכחת קונספט, אז הייתה בשלה לניצול על ידי האקרים.

הגורם המקל העיקרי הוא שהאקרים זקוקים לכמה אישורים (אפילו עם הרשאות נמוכות) עבור הרשת, אך עבור רשתות ארגוניות, ניתן לרכוש אותם בקלות בסביבות 3$.

מיקרוסופט הגיבה כעת סוף סוף לחדשות על ידי פרסום הייעוץ CVE-2021-34527 Windows Print Spooler Remote Code Execution Vulnerability.

מיקרוסופט אומרת:

מיקרוסופט מודעת וחוקרת פגיעות של ביצוע קוד מרחוק המשפיעה על Windows Print Spooler והקצתה את CVE-2021-34527 לפגיעות זו. זהו מצב מתפתח ואנו נעדכן את ה-CVE ככל שמידע נוסף יהיה זמין.

פגיעות של ביצוע קוד מרחוק קיימת כאשר שירות Windows Print Spooler מבצע באופן שגוי פעולות קבצים מורשות. תוקף שיצליח לנצל פגיעות זו יכול להריץ קוד שרירותי עם הרשאות SYSTEM. לאחר מכן, תוקף יוכל להתקין תוכניות; להציג, לשנות או למחוק נתונים; או ליצור חשבונות חדשים עם זכויות משתמש מלאות.

התקפה חייבת לכלול משתמש מאומת הקורא ל-RpcAddPrinterDriverEx().

אנא ודא שהחלת את עדכוני האבטחה שפורסמו ב-8 ביוני 2021, ועיין בסעיפים הנפוצים והעקבות ב-CVE זה לקבלת מידע כיצד לסייע בהגנה על המערכת שלך מפני פגיעות זו.

בהערכת הניצול שלהם, הם מציינים שהם כבר זיהו ניצול.

מיקרוסופט מציעה את הדרך לעקיפת הבעיה הבאה, אשר עם זאת משביתה את Print Spooler שלך:

קבע אם שירות Print Spooler פועל (הפעל כמנהל דומיין)

הפעל את הפעולות הבאות כמנהל דומיין:

Get-Service -Name Spooler

אם Print Spooler פועל או אם השירות אינו מושבת, בחר באחת מהאפשרויות הבאות כדי להשבית את שירות Print Spooler, או להשבית הדפסה נכנסת מרחוק באמצעות מדיניות קבוצתית:

אפשרות 1 - השבת את שירות הדפסה

אם השבתת שירות הדפסה המתאימה מתאימה לארגון שלך, השתמש בפקודות PowerShell הבאות:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

השפעת הדרך לעקיפת הבעיה השבתת שירות Print Spooler משבית את היכולת להדפיס הן מקומי והן מרחוק.

אפשרות 2 - השבת הדפסה נכנסת מרחוק באמצעות מדיניות קבוצתית

אתה יכול גם להגדיר את ההגדרות באמצעות מדיניות קבוצתית באופן הבא:

תצורת מחשב / תבניות ניהול / מדפסות

השבת את המדיניות "אפשר ל-Print Spooler לקבל חיבורי לקוח:" כדי לחסום התקפות מרוחקות.

השפעת הדרך לעקיפת הבעיה מדיניות זו תחסום את וקטור ההתקפה המרוחקת על ידי מניעת פעולות הדפסה מרחוק נכנסות. המערכת לא תפעל עוד כשרת הדפסה, אך עדיין תתאפשר הדפסה מקומית למכשיר המחובר ישירות.

קרא את כל הפרטים במיקרוסופט כאן.

עוד על הנושאים: אבטחה

סורור דיווידס

סורור דיווידס מגן

מומחה לסמארטפונים

Surur Davids הוא המייסד של WMPoweruser שלימים הפך ל-MSPoweruser.com. הוא מומחה לסמארטפונים עם ניסיון של למעלה מעשור.